在国际竞争日益激烈的环境下,受到了世界各国的重视。在过去的2012年中,随着及程度的提高,为了获取及时准确的加工信息,越来越多的工业控制设备被接入企业中,因此企业工业设备所受到的威胁也越来越大,因此,越来越多的企业开始从传统的IT信息安全的范畴上扩大到了工厂车间级的信息安全防护上。
传统IT信息安全一般是要实现三个目标,即保密性、完整性和可用性,通常都将保密性放在首位,并配以必要的访问控制,以保护用户信息的安全,防止信息盗取事件的发生。完整性放在第二位,而可用性则放在最后。
对于工厂信息安全而言,重点就在对工业自动化控制系统的防护上。而对工业自动化控制系统而言,目标优先级的顺序则正好相反。工控系统信息安全首要考虑的是所有系统部件的可用性。完整性则在第二位,保密性通常都在最后考虑。因为工业数据都是原始格式,需要配合有关使用环境进行分析才能获取其价值。而系统的可用性则直接影响到企业生产,生产线停机或者误动作都可能导致巨大经济损失,甚至是人员生命危险和环境的破坏。
除此之外,工控系统的实时性指标也非常重要。控制系统要求响应时间大多在1毫秒以内,而通用商务系统能够接受1秒或几秒内完成。工业控制系统信息安全还要求必须保证持续的可操作性及稳定的系统访问、系统性能、专用工业控制系统安全保护技术,以及全生命周期的安全支持。在些要求都是在保证信息安全的同时也必须满足的。
据CNVD(国家信息安全漏洞共享平台)监测数据显示,在2012年中IT漏洞持续增多,2012年达到957件,而专门针对工业控制系统的漏洞也为数不少。因此在2012年制造业企业也逐渐开始关注于车间生产自动化控制系统及其网络的安全,尤其是在石油、化工等行业更是在2011年的基础上加大在工业系统的防护上的投入,使得其生产安全上得到保障。
图 1 2012 IT漏洞数量及趋势情况
在对工厂信息安全的防护上,有多家厂商都能提供解决,包括、多芬诺、力控华康、网络、卡巴斯基(Kaspersky)等多家IT整体解决方案厂商、IT信息安全设备厂商、IT防护厂商都能帮助完成对工厂信息安全上的防护。
出此之外,为保障工业控制系统的信息安全,更加迫切地需要有关政府部门发布相关法令法规,进一步引起各行业足够的重视,并规范行业实践。由于工业控制系统涉及众多行业,例如石油、化工、电力、核电等。各行业的具体管理要求和系统设备工作环境不尽相同。因此,必须有针对性地制定相关行业信息安全保障应用行规。同时,以工业自动化标准化机构为先导,联合相关组织机构,研究工业信息安全标准体系,积极开展工业控制系统信息安全评估标准的制定工作,健全工业信息安全评估认证机制,建立有效的工业控制系统信息安全应急系统,形成我国自主的工业控制系统信息安全产业和管理体系。